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摘 要: 模糊 测试 是 一 种 有 效 的 自动 化 漏洞 挖掘 技术 , 主流 模糊 测试 技术 采用 遗传 算法 生成 测试 用 例 , 存在 早熟 现象 ， 
导致 路 径 履 盖 率 不 足 。 针 对 该 问题 ， 提 出 一 种 基于 动态 适应 度 函 数 的 模糊 测试 方法 。 综 合 考虑 了 种 子 新 度 和 路 径 深度 
因素 ， 设 计 了 根据 测试 阶段 不 同 而 动态 变化 的 适应 度 函 数 ， 实 现 了 基于 动态 适应 度 函 数 的 模糊 测试 工具 DynFuzzer。 
在 BegBunch 和 CGC 提供 的 测试 集 上 进行 实验 ， 结 果 表 明 与 现 有 模糊 测试 工具 相 比 ，DynFuzzer 路 径 履 盖 率 提高 了 
40%， 多 发 现 了 10% 的 bug。 基 于 动态 适应 度 咏 数 的 模糊 测试 方法 能 有 效 克 服 早 熟 问 题 ， 提 高 路 径 和 覆盖 府 ,发 现 更 多 的 
bug。 
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Research on fuzzing technique based on dynamic fitness function 
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Abstract: Fuzzing is an effective technique for automatically mining vulnerabilities. The mainstream fuzzing technique uses 
genetic algorithm to generate cases for testing, but almost there exists a premature phenomenon, which leads to lower ratio of 
path coverage. Given this problem, this paper proposed a fuzzing test method based on dynamic fitness function. Considering 
the newness of seed and the depth of the path, designed an improved fitness function of dynamic change with different test 


phases, by which, implemented the fuzzing testing tool-DynFuzzer. On the test set provided by BegBunch and CGC, devised a 


experiment. The results show that compared with the existing fuzzing test tools, the DynFuzzer path coverage is 40% higher and 


10% more bugs are found. The fuzzing test method based on dynamic fitness function can overcome the problem of prematurity, 
improve path coverage and find more bugs. 
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是 代码 覆盖 率 较 高 ， 缺 点 是 无 法 克服 路 径 爆炸 的 问题 ， 也 无 法 
解决 高 强度 的 程序 检查 。 2016 年 结合 启发 式 算法 的 模糊 测试 工 

模糊 测试 是 一 种 有 效 的 漏洞 挖掘 技术 ， 具 有 高 度 自动 化 、 具 AFL 因为 其 简单 、 高 效 的 优点 成 为 了 工业 化 漏洞 控 扬 最 党 
可 扩展 性 强 、 可 适用 于 大 型 程序 等 优势 ， 被 广泛 应 用 于 软件 测 。 ”的 模糊 工具 之 一 9am。 


0 引言 


试 领域 下。 据 统 计 ， 微 软 产品 发 布 前 有 20%~25% 的 安 AFL 采用 以 路 径 履 盖 率 为 导向 的 遗传 算法 进行 模糊 测试 ， 

全 漏洞 是 通过 模糊 测试 技术 发 现 的 se 因此, 设计 一 种 。 相 比 其 他 模糊 测试 方法 , 提高 了 路 径 覆 盖 率 中 29,。 但是， 

高 效 的 模糊 测试 方法 在 软件 安全 领域 具有 重要 意义 。 AFL 的 遗传 算法 采用 固定 的 适应 度 函 数 ， 而 没有 充分 利用 在 测 
根据 测试 用 例 生成 方法 不 同 ， 可 以 将 模糊 测试 分 为 : 基于 试 过 程 中 动态 获得 的 程序 路 径 信息 ， 导 致 种 群 基因 收敛 过 早 ， 


将 
格式 分 析 和 程序 理解 相 结 合 的 和 基于 静态 分 析 与 动态 测试 相 结 ”测试 后 期 难以 发 现 新 的 路 径 ， 路 径 覆 盖 率 不 足 。 
合 的 sweep ， 前 者 的 代表 工具 有 SPIKE、Peach 各 直到， 针对 上 述 问 题 ， 本 文 提 出 了 一 种 基于 动态 适应 度 函 数 的 模 
等 ， 该 方法 的 优点 是 执行 效率 高 、 应 用 范围 广 、 通 用 性 强 ， 缺 。 糊 测 试 方法 ， 适 应 度 函 数 的 设计 综合 考虑 路 径 的 新 度 和 深度 两 
点 是 仍然 需要 大 量 的 人 工 参与 来 进行 多 种 知识 的 获取 。 个 因素 ， 在 模糊 测试 的 不 同 阶段 赋予 其 不 同 的 权 值 以 得 到 更 高 
W， 后 者 的 代表 工具 有 Buzz-Fuzz few 等 ， 该 方法 的 优点 ”的 路 径 履 盖 率 。 
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] 问题 分 析 2 AFL 的 种 子 生成 测试 例 情况 
横 坐 标 表示 对 所 有 种 子 按照 生成 测试 例 数 进行 降序 排序 的 
1.1 AFL 的 测试 用 例 生 成 方法 编号 , 纵 坐 标 表 示 每 个 种 子 在 一 个 Fuzz 循环 中 生成 的 测试 用 例 
AFL 采用 遗传 算法 生成 测试 用 例 汪 se 。 首 先 ， 用 户 。 ”的 数量 即 路 径 被 执行 的 次 数 。 可 以 发 现 AFL 在 测试 例 生 成 上 有 
提供 初始 测试 用 例 集 ， 然 后 ， 以 路 径 履 盖 作 为 导向 ， 采 用 变异 ”如 下 几 个 特点 : a) 有 38% 的 种 子 只 生成 了 极 少 的 测试 用 例 ;b) 
操作 产生 下 一 代 测 试用 例 , 将 能 产生 新 路 径 的 用 例 保留 为 种 子 ， “有 28% 的 种 子 生 成 了 绝 大 多 数 的 测试 用 例 。 
循环 上 述 操作 ,通过 不 断 覆 盖 程 序 的 执行 路 径 来 发 现 bug 香 R 和 和 可 以 看 出 AFL 的 大 部 分 时 间 都 在 执行 favorite 种 子 ， 非 
favorite 的 种 子 执行 时 间 占 不 到 1%， 但 是 favorite 的 判定 是 根 
AFL 中 种 子 从 测试 用 例 中 选择 而 来 , 测试 用 例 又 由 种 子 变 ” 据 种 子 的 执行 速度 和 体积 大 小 决定 的 ， 与 是 否 有 可 能 产生 新 路 
异 产 生 ， 如 果 该 测试 用 例 在 执行 过 程 中 产生 了 新 的 路 径 则 将 其 径 并 没有 直接 关系 ， 以 上 原因 导致 AFL 的 种 群 基因 收敛 过 早 ， 
加 入 种 子 集中 生成 下 一 代 种 群 ， 这 样 能 建立 种 子 和 路 径 的 一 一 ”路径 覆盖 率 不 足 。 
对 应 关系 ”feet 这 也 表示 AFL 的 种 群 数量 是 只 增 不 减 。 
在 种 子 执行 过 程 中 AFL 还 有 其 独特 的 favorite 策略 ， 对 于 每 条 。“ 人 


ul 


= 


路 径 片 段 ， 将 到 达 该 片段 速度 最 快 或 输入 体积 最 小 的 种 子 标记 为 了 能 有 效 地 把 模糊 测试 的 资源 集中 到 缺陷 多 发 区 ， 取 得 
为 favorite 各 Ra 有 汪 ， 被 标记 为 favorite 的 种 子 在 选择 时 会 和 更 高 的 路 径 覆 盖 率 ， 本 文 提 出 了 一 种 基于 动态 适应 度 函 数 的 模 
有 更 高 的 概率 被 选中 。 糊 测 试 方法 。 方 法 结合 了 两 个 适应 度 函 数 : 新 度 优 先 适 应 度 函 


在 种 子 被 选中 后 ， 每 个 种 子 会 变异 生成 一 定数 量 的 测试 用 数 和 深度 优先 适应 度 函 数 ,采用 了 根据 测试 阶段 不 同 而 动态 变 
例 ， 生 成 测试 用 例 的 数量 由 种 子 的 执行 时 间 、 路 径 片 段 覆 盖 率 ”化 的 适应 度 函数 。 

和 产生 新 输入 所 花 的 时 间 共 同 决 定 ， 被 标记 为 favorite 的 种 子 ”2.1 新 度 适 应 度 函 数 

每 次 被 选择 时 会 生成 几 千 个 测试 用 例 ， 其 他 种 子 被 选中 后 只 新 度 适 应 度 函 数 的 目的 是 为 了 使 程序 的 控制 流 图 尽 可 能 完 
生 几 十 个 测试 用 例 。AFL 特殊 的 种 子 选择 和 能 量 分 配 策略 提升 。 整 并 发 现 一 些 浅 层 的 bug。 根 据 实验 和 漏洞 挖掘 经 验 ， 本 文 总 
了 模糊 测试 的 效率 但 也 导致 了 其 种 群 基因 收敛 过 早 ， 代 码 履 盖 。” 结 提出 两 条 模糊 测试 前 期 的 启发 式 规则 。 


率 不 足 。 启发 式 规则 1 一 个 种 子 发 现 的 路 径 片段 越 新 ， 则 其 后 代 
1.2 AFL 实例 分 析 在 下 一 轮 测试 中 发 现 新 路 径 的 概率 越 大 。 
使 用 AFL 对 CGC 中 b64_encode 1 赛 题 进行 模糊 测试 , 测 启发 式 规则 2 ”一 个 种 子 所 执行 路 径 上 的 片段 越 多 ， 其 后 
试 时 间 为 2 小 时 。AFL 进行 了 约 2000 次 循环 ， 每 个 种 子 被 选 ”” 代 在 下 一 轮 测试 中 发 现 新 路 径 的 概率 越 大 。 
择 次 数 分 布 如 图 1 所 示 。 根据 上 述 启 发 式 规则 ， 定 义 种 子 的 新 度 适应 度 等 于 其 对 应 
| 执行 路 径 上 所 有 路 径 片 段 的 新 度 和 
| Fitmess _nfs _value(seed) = > 2 
8 8001| i=! 
| 其 中 :7 为 种 子 对 应 执行 路 径 上 的 路 径 片段 编号 ，cyc(i) 为 路 
mm 径 片段 i 第 一 次 被 执行 的 循环 轮 次 ，20<() 表示 路 径 片段 i 的 
种 子 编号 
图 1 AFL 的 种 子 选择 情况 新 度 。 将 时 间 对 适应 度 的 影响 定义 为 指数 级 别 ， 提 高 了 发 现 新 
横 坐 标 表示 种 子 的 编号 ， 纵 坐标 表示 种 子 被 选择 的 次 数 。 ”路 径 片 段 的 种 子 被 选中 的 优先 级 。 
可 以 发 现 编号 为 1、 13、15、18 的 种 子 被 选择 的 次 数 远 sr 
高 于 其 他 的 种 子 ， i favorite 的 种 子 。 
在 与 上 一 个 实验 相同 的 实验 环境 中 统计 每 个 种 子 生 成 的 测 
试用 例 数量 并 计算 得 到 种 子 被 选中 时 平均 生成 测试 用 例 的 数量 ， LI 
具体 如 图 2 所 示 。 < > 
a 区 济 Lv] 
100004 ~ e 3 
人 2 
| 图 3 新 度 适 应 度 计算 


0 通过 图 3 中 的 实例 解释 测试 用 例 新 度 适应 度 的 计算 方法 。 
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个 程序 的 部 分 控制 流 ， 路 径 片 段 上 的 数字 表示 该 路 
径 片段 被 发 现 的 轮 次 。 

假设 有 cl、c2、c3 三 个 种 子 ， 执 行路 径 分 别 为 a-b-d、a-c- 
e、a-c-f 可 以 计算 三 个 种 子 的 新 度 适 应 度 : 


图 3 衣 不 


Fimess _nfs _value(cl) =2 +2 +2 =6 
Fimess _nfs _value(c2)=21 +2*+2”=10 


Fitness _nfs _value(c3) = 2+22+23=14 


就 得 到 了 三 个 种 子 的 新 度 适 应 度 。 
2.2 深度 适应 度 函 数 
深度 适应 度 函 数 的 目的 是 为 了 从 程序 的 路 径 中 选 出 危险 性 
较 高 的 路 径 ， 有 针对 性 的 对 危险 路 径 进行 模糊 测试 以 发 现 深层 
的 bug。 根 据 实验 和 漏洞 挖掘 经 验 ， 本 文 总 结 提出 一 条 模糊 测 
试 后 期 的 启发 式 规则 。 
启发 式 规则 3 种子 对 应 的 路 径 越 深 ， 该 条 路 径 上 越 有 可 


于 上 述 启发 式 规则 ， 在 模糊 测试 后 期 以 路 径 的 深度 作为 
函数 的 优先 影响 因子 ， 以 求 提高 发 现 深层 bug 的 概率 。 
空 制 流 到 马尔 可 夫 链 的 映射 


Ghinaxiy 仗 作 其 


邓 一 杰 ， 等 : 基于 动态 Taiy 合 件 期 刊 。 
2.2.2 路 径 的 权重 计算 
本 方法 通过 计算 每 条 路 径 的 权重 获得 种 子 的 深度 适应 度 ， 
每 个 种 子 的 深度 适应 度 由 其 对 应 的 路 径 上 的 基本 块 权 重 相 加 得 
到 ， 基 本 块 概率 由 路 ee 公式 如 下 : 
p(S)= >》 PCD)*P(DS) 
Deu(S) 
其 中 : S 为 基本 块 ，u(S) 为 能 通过 一 步 状态 转移 到 达 S 的 
基本 块 的 集合 , DS 表示 基本 块 D 到 基本 块 $ 的 路 径 , p(Dot) 和 
p(edge) 分 别 表示 基本 块 的 概率 和 路 径 片 段 的 概率 。 
每 个 基本 块 的 权重 定义 为 其 状态 概率 的 倒数 ，S 基本 块 的 
权重 为 


S$S)=——— 
w(S) DS) 


过 的 基本 块 集合 为 block(seed) 


若菜 个 种 子 seed 对 应 路 径 经 
则 该 路 径 对 应 种 子 的 深度 适应 度 为 
Fitmness _dfs_value(seed)= 
w(Dor) 


Doteblock (seed) 
需要 特别 指出 的 是 ,模糊 测试 过 程 中 会 不 断 产生 新 的 路 径 ， 
所 以 程序 的 控制 流 图 也 会 动态 变化 , 每 经 过 一 次 Fuzz 循环 就 更 
一 次 控制 流 图 ， 然 后 依靠 新 的 控制 流 图 计算 新 的 种 子 适 应 度 


3 
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马尔 可 夫 链 是 概率 学 中 的 一 种 离散 事件 随机 过 程 ， 该 过 程 
中 的 状态 转换 满足 如 下 性 质 : 过 去 状态 对 于 将 来 状态 的 预测 是 
无 影响 的 , 将 来 的 状态 只 与 现在 的 状态 有 关 和 wm。 本 文 研 
究 的 目标 是 以 C 语言 等 结构 化 程序 语言 编写 的 二 进 制 程序 ， 针 
对 结构 化 的 程序 ， 可 以 将 程序 的 每 个 基本 块 视 为 一 种 状态 ， 之 
前 经 过 的 基本 块 对 于 下 一 步 可 能 到 达 的 基本 块 是 无 影响 的 ， 下 
一 步 可 能 到 达 的 基本 块 只 与 现在 所 在 的 基本 块 有 关系 ， 所 以 程 
序 的 执行 流程 是 满足 马尔 可 夫 性 质 的 ， 这 种 随机 过 程 可 以 抽象 
为 一 条 马尔 可 夫 链 0 。 

把 程序 基本 块 视 为 状态 后 ， 路 径 就 可 视 为 状态 转移 过 程 ， 
对 应 的 每 条 路 径 的 概率 就 是 状态 转移 概率 ， 这 个 概率 由 统计 得 
出 ，AFL 在 程序 的 每 个 分 支点 处 插 桩 了 一 些 轻型 代码 以 获得 路 
径 信息 509， 本 方法 利用 这 些 代码 记录 了 在 分 支点 处 选择 不 同 分 
支 的 测试 用 例 数 ， 分 支 用 例 数 所 占 总 用 例 数 的 比例 定义 为 该 路 
径 分 支 的 概率 ， 具 体 计算 方法 如 图 4 所 示 。 


A 


图 4 路 径 分 支 概率 
假设 在 一 次 Fuzz 过 程 后 ， 有 m 个 测试 用 例 经 过 路 径 分 支 
AB，n 个 测试 用 例 经 过 分 支 AC， 则 


p(AB) 二 ,P(AC)= min 。 


进行 新 一 轮 的 Fuzz。 图 5 展示 了 一 次 完整 的 Fuzz 过 程 路 径 
权 值 计算 。 
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0.5 
E ) (0. 35, 2. 86) 
0.6 0.4 


F ) (0.14,7.14) 


0.1 


图 5 ”路径 适应 度 计算 
图 5 表示 程序 的 控制 流 , 基本 块 旁 的 值 (a,b), a 表示 基本 块 
的 概率 ，b 表示 基本 块 的 权 值 ， 基 本 块 之 间 的 数字 表示 基本 块 
间 的 转移 概率 。 假 设 现 在 有 一 个 种 子 c4 对 应 着 Main-B-C-E-F- 
Bug-Return 路 径 ， 另 一 个 种 子 c5 对 应 着 Main-B-C-D-G-Return 
路 径 ， 分 别 依靠 现 有 控制 流 计算 两 个 种 子 的 深度 适应 度 ， 计 算 
方法 如 下 : 
先 基于 现在 控制 流 图 计算 出 的 每 个 基本 块 概率 和 权 值 : 
p(B)=1*0.7=0.7 
w(B) =— 
p(B) 
p(G)=0.35*0.8+0,35*0.6+0.14*0.9=0.616 
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再 把 路 径 包 含 的 基本 块 权 值 相 加 即 可 得 到 对 应 种 子 的 深度 
适应 度 ， 相 加 的 时 候 需要 去 掉 程 序 的 起 始 块 和 结束 块 : 
Fitness _dfs _value(c4)=w(B)+w(C)+w(E) 
+w(F)+w(Bug)= 84.29 
Fitness _dfs _value(cS)= w(B)+w(C)+w(D) 
+w(G)=7.34 

得 出 两 个 种 子 的 深度 适应 度 

2.3 动态 适应 度 函 数 

基于 上 文 提出 的 两 种 适应 度 函 数 计算 方法 ， 本 方法 在 不 同 


Ghinaxiy 仗 作 其 


邓 一 杰 ， 等 : 基于 动态 ny 


前 期 新 度 适应 度 占 权重 较 高 ， 后 期 深度 适应 度 占 权重 较 高 ， 有 具 
体 设计 方法 如 下 : 

为 了 避免 新 度 适 应 度 和 深度 适应 度 相互 影响 ， 
标准 化 处 理 


一 


首先 将 其 均 


Fitness _nfs _value(seed) 
> Fitness _nfs _value()) 


jeset 


Fitness _nfs(seed)= 


Fitness _dfs _value(seed) 
> Fitness _dfs __value()) 


JEset 


Fitness _ dfs(seed) = 


set 表示 该 次 循环 中 的 种 子 集 。 


的 时 期 分 别 赋予 其 不 同 的 权 值 实现 了 动态 的 适应 度 函数 设计 ， 然后 将 标准 化 后 的 两 个 适应 度 函 数 赋予 不 同 的 权重 后 相 加 : 
(1—log, (cyc))Fitmess _nfs+log, (cyc)Fitness _dfs cycz Va 
Fitness=y b b 
— Fitness _nfs+(1——)Fitness _dfs cyc>2b 
cyc cyc 
为 了 让 适应 度 函 数 连 续 ， 参 数 a 和 b 满足 条 件 .~ Fitmess(i) 
Pro(i) 三 Fp 
7 
Va =2=rush ， rsh 的 值 根据 不 同 程序 规模 可 自 定义 ， 


默认 为 20, rush 是 一 个 适应 度 阔 值 , 表示 在 小 于 rush 的 轮 次 中 
新 度 适 应 度 的 权重 大 于 深度 的 权重 , 在 大 于 rush 的 轮 次 中 新 度 


适应 度 的 权重 小 于 深度 的 权重 。 这 种 设计 方法 通过 动态 改变 遗 
传 算法 的 适应 度 函 数 避 免 种 群 的 收敛 并 有 效 的 提高 路 径 枚 盖 3 


和 发 现 深层 bug 的 概率 。 
这 种 基于 动态 适应 度 函 数 的 模糊 测试 方法 可 以 有 效 的 发 现 
程序 的 完整 路 径 并 将 模糊 测试 的 时 间 和 计算 资源 分 配给 更 可 能 
存在 bug 的 区 域 ， 有 利于 发 现代 码 更 深层 次 的 缺陷 ， 不 足 之 处 
是 在 前 期 发 现 crash 的 速率 方面 略 有 下 降 。 


3 ”DynFuzzer 系统 设计 与 实现 


根据 上 文 提 出 的 基于 动态 适应 度 函 数 的 模糊 测试 方法 设计 

实现 了 模糊 测试 工具 DynFuzzer， 本 节 对 DynFuzzer 使 用 的 遗 
传 算法 和 系统 架构 进行 介绍 。 
3.1 种 子 选择 和 能 量 分 配 算法 

DynFuzzer 通过 种 子 的 动态 适应 度 值 挑选 进行 Fuzz 的 种 子 
给 其 分 配 能 量 ， 在 本 文中 定义 能 量 为 种 子 变异 产生 测试 用 例 
的 数量 。 在 计算 得 到 种 子 集中 种 子 的 动态 适应 度 后 ， 采 用 轮 盘 
赌 算法 选择 种 子 进行 Fuzz， 每 个 种 子 都 有 一 定 的 概率 被 选中 ， 
选择 种 子 i 的 概率 为 


其 中 : 


Fit = >》 Fitness(i) 
js 


选择 种 子 后 进入 能 量 分 配 阶段 ， 适 应 度 高 的 种 子 能 量 大 ， 
将 产生 更 多 的 测试 用 例 , 在 Fuzz 开始 前 针对 每 个 种 子 定义 一 个 
最 大 测试 用 例 数 。 


MAX _case(i) = 2 


splitQi) 为 种 子 i 对 应 路 径 所 含 的 路 径 片段 数 , 种 子 i 最 终 被 
分 配 的 能 量 关 


区 


10- 
power(i) =+ Pro(i)* MAX _case(i) 102<power(D)<10; 
10 


该 公式 表明 给 种 子 分 配 的 能 量 是 有 边界 的 ， 最 小 产生 100 


个 测试 ) 


j 例 ， 最 多 产生 105 个。 


3.2 系统 架构 
DynFuzzer 系统 分 为 两 个 模块 : 代理 模块 和 监控 模块 ， 模 
块 设计 如 图 6 所 示 。 
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Fuzz 的 种 子 
例 ， 选 择 执 


Si 


中 。 


记录 程序 详 
入 下 一 代 种 子 集 ; 


记录 产 4 


种 子 选择 和 


分 配 


| 
| 
| 
| 
crash | 
| 
| 
| 


代理 模块 : 模糊 测 试 的 主 模块 ， 负 责 从 种 子 集中 选 出 进行 


监控 模块 : 负责 监控 测试 用 人 
E crash 时 的 现场 如 各 寄存 器 的 值 和 堆栈 的 值 等 。 
系统 的 运行 流程 
a) 用 户 输入 初始 测 


将 其 变异 生成 测试 用 例 ; 调用 目标 程序 执行 测试 
行 了 新 路 径 的 测试 用 例 将 其 加 入 到 下 一 代 种 子 集 


在 执行 过 程 中 是 否 产 生 crash， 


试用 例 集 并 执行 ， 


b) 记 录 程序 的 执行 路 径 信 息 , 若 产 生 crash 则 调用 监控 模块 


执行 信息 ， 然 后 选择 执行 了 新 路 径 的 测试 用 例 加 


co) 根 据 第 b) 步 的 路 径 信息 计算 出 种 子 的 适应 度 ， 根 据 种 子 


的 适应 


台 5 旦 . 


度 进行 种 子 选择 和 能 量 分 配 操 作 ; 


dd) 将 第 co) 步 中 选 出 来 的 种 子 变异 生成 测试 用 


Cie 
4 


列 集 并 调用 目 


标 程序 执行 ， 转 到 步骤 b); 


Fuzz 循环 会 


图 6 DynFuzzer 模块 架构 


横 坐 标 表示 Fuzz 的 时 间 ， 
现 的 路 径 数 和 crash 数 ， 通 
前 期 发 现 新 路 径 的 能 力 上 
环 后 ，DynFuzzer 最 终 发 
613 条 路 径 ，DynFuzzer 比 AFL 多 发 现 了 40% 的 路 径 ; 
的 能 力 在 不 同时 间 阶 段 能 保持 术 


crash 方面 


持续 ， 直 到 用 户 手动 结束 或 者 当 超过 一 定 


时 间 没 有 产生 新 的 路 径 后 停止 测试 。 


4 


4.1 


数 提 


实验 及 分 析 


BegBunch 


针对 本 论文 设计 的 DynFuzzer 采用 BegBunch05l 作 为 实验 


局 集 ，BegBunch 是 一 个 人 工 构 造 的 包含 67 个 crash 的 bug 


测试 集 。 本 实验 的 运行 环境 为 64 位 的 Ubuntu 14.04、8 个 核心 
CPU、 内 存 为 12 GB， 运行 时 间 为 6h，AFL 和 DynFuzzer 在 不 
同时 间 点 发 现 的 路 径 数 和 crash 数 统计 如 图 7 和 8 所 示 。 


EE 
一 一 DynFuzzer| 


鳃 


时 间 (h) 


7 路 径 对 比 图 


后 期 的 Fuzz 色 
AFL 的 Fuzz 能 力 明 显 随 着 时 


选择 子 代 
种 子 


, DynFuzzer 


一 一 AFL 


一 一 DynFuzzer| 


缺陷 对 比 图 
到 7 和 8 的 纵 坐 标 分 别 表示 发 
结果 可 以 发 现 ，DynFuzzer 在 
于 AFL, 但 是 当 经 过 一 定 次 数 循 
网 了 13 058 条 路 径 ，AFL 只 发 现 了 7 
在 产生 
日 对 稳定 ， 
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E 力 与 前 


期 相差 不 大 ， 最 终 发 现 了 66 个 crash; 而 
则 的 推移 越 来 越 差 ， 这 也 说 明了 


AFL 后 期 Fuzz 能 力 不 足 的 问题 , 最 终 只 发 现 了 60 个 crash, 采 


~ 


crash 。 


4.2 CGC 赛 题 
收集 CGC(cyber grand challenge) 比 赛 中 用 到 的 赛 题 作 为 本 


次 实验 测试 身 


题 AFL 和 DynFuzzer 者 
法 发 现 crash， 
Fuzz 时 间 较 长 的 测试 


uy 


节 相 同 , 不 同 点 是 两 种 了 


结果 如 图 9 所 示 。 


因此 只 统计 了 


bP 等 难 


了 动态 适应 度 函 数 的 DynFuzzer 比 AFL 多 发 现 了 10% 的 


于 CGC 赛 题 的 难度 不 一 ,对 于 一 些 较 简 单 的 
了 能 比较 快 的 发 现 crash， 太 难 的 题 都 无 
看 不 出 性 能 上 的 差别 ， 


度 的 、 


例 测 试 情况 ， 这 次 实验 运行 环境 与 4.1 


其 运行 12 h 后 统计 crash 情况 ， 
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程序 编号 


图 9 基于 CGC 的 实验 测试 

横 坐 标 表示 CGC 赛 题 的 编号 ， 纵 坐标 表示 模糊 测试 结束 
后 发 现 的 crash 数 ， 通 过 实验 发 现 ，DynFuzzer 总 共 发 现 了 438 
个 crash， 而 AFL 发 现 了 总 共 348 个 crash，DynFuzzer 比 AFL 
多 发 现 26% 的 crasn， 考 虑 到 统计 的 CGC 赛 题 都 是 中 等 难度 的 
测试 题 , 真实 的 测试 集中 还 包含 10 道 简单 的 测试 题 , 对 这 些 题 
AFL 和 DynFuzzer 均 能 发 现 所 有 的 crash， 还 有 5 道 对 于 难度 
系数 很 高 的 CTF 赛 题 ，AFL 和 DynFuzzer 都 无 法 发 现 crash， 
综合 这 些 题 目 对 比较 实验 的 影响 后 ， 计 算得 到 DynFuzzer 比 


i 二 10.4% 的 crash。 
0+10+5 


> 


AFL 平均 多 发 现 0.26* 1 


5 ”结束 语 


针对 现行 模糊 测试 技术 存在 的 种 群 基因 收敛 过 早 
”， 路 径 覆 盖 率 不 足 的 问题 提出 了 基于 动态 适应 度 函 数 的 模 灶 
测试 方法 ， 并 基于 该 方法 实现 了 模糊 测试 工具 DynFuzzer。 通 
过 实验 证 明 DynFuzzer 在 模糊 测试 的 路 径 履 盖 率 方面 比 AFL 多 
发 现 40% 的 路 径 ， 在 发 现 crash 方面 平均 比 AFL 多 发 现 10% 的 
crash。DynFuzzer 的 不 足 有 两 个 方面 ， 一 是 在 模糊 测试 前 期 产 
生 新 路 径 和 crash 的 能 力 较 弱 ;二 是 由 于 模块 耦合 度 对 控制 流 
转化 成 马尔 可 夫 链 模型 的 影响 ， 本 方法 对 于 复杂 的 非 结 构 化 程 
序 和 大 型 实际 程序 依然 不 能 达到 理想 的 效果 ， 如 何 解决 这 两 个 
问题 还 需要 在 接 下 来 的 工作 中 进一步 研究 。 
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